Zarządzanie reagowaniem na incydenty
Zagrożenie cyberatakami i innymi incydentami bezpieczeństwa zagraża wszystkim organizacjom. Jest po prostu zbyt wiele rzeczy, które mogą się wydarzyć - czy to cyberatak, awaria techniczna, czy inne opóźnienie.
Ale to nie znaczy, że musisz zaakceptować fakt, iż opóźnienia są nieuniknione. Powinieneś stale oceniać, co może pójść nie tak i jak sobie z tym poradzić, ponieważ sposób, w jaki reagujesz na zdarzenie, może mieć wpływ na to, czy będziesz zmagać się z drobnymi zakłóceniami czy z poważnymi katastrofami.
Liczy się każda sekunda
Im dłużej organizacji zajmie wykrycie luki, tym bardziej prawdopodobne jest, że doprowadzi ona do poważnego incydentu bezpieczeństwa. Na przykład możesz mieć niezałatany system, który czeka na wykorzystanie przez cyberprzestępcę, lub Twoje oprogramowanie antywirusowe nie jest szczelne i pozwala zainfekowanym załącznikom przenikać do skrzynek odbiorczych pracowników.
Przestępcy czasami wykorzystują luki, gdy tylko je odkryją, powodując problemy, na które organizacje muszą natychmiast zareagować.
Jednak równie prawdopodobne jest, że wykorzystają je w ukryciu, a organizacja odkryje naruszenie dopiero kilka tygodni lub miesięcy później - często po powiadomieniu o tym przez stronę trzecią.
Wykrycie naruszenia zajmuje średnio 175 dni, dając przestępcom mnóstwo czasu na dostęp do poufnych informacji i przeprowadzenie kolejnych ataków.
Jak stwierdzono w badaniu kosztów naruszenia bezpieczeństwa danych przeprowadzonym przez Ponemon Institute w 2019 r., szkody związane z niewykrytymi incydentami związanymi z bezpieczeństwem mogą szybko się sumować.
Jeśli Twoja organizacja ma zmniejszyć straty finansowe i zachować kontrolę nad sytuacją, musisz mieć plan reagowania na incydenty. Pozwala to zmniejszyć szkody oraz zmniejszyć opóźnienia i koszty związane z zakłóceniami.
Zarządzanie incydentami ma nie tylko sens biznesowy.
Cykl życia reakcji na incydent
Zalecamy, aby Twój plan reagowania na incydenty opierał się na ISO 27001, międzynarodowym standardzie bezpieczeństwa informacji oraz ISO 27035, który zawiera zasady i wytyczne dotyczące zarządzania incydentami.
Być może zainteresuje Cię zaprezentowane poniżej podejście do reagowania na incydenty, które łączy te elementy z procesami, aby pomóc Ci przygotować się na incydenty i zapewnić ciągłość działania.
Możesz zastosować to podejście, wykonując następujące osiem kroków:
1. Zidentyfikuj ryzyko, słabe punkty i narażenie na zagrożenie
Nie możesz zaplanować katastrofy, jeśli nie wiesz, co może się wydarzyć, więc pierwszym krokiem jest zidentyfikowanie ryzyka poprzez przeprowadzenie oceny ryzyka.
Ten proces da Ci również pojęcie o tym, jakie zagrożenie stanowi każde ryzyko i czy warto się nim zająć. Na przykład, jeśli uznasz, że ryzyko jest mało prawdopodobne lub spowoduje jedynie minimalne szkody, planowanie może być bardziej kłopotliwe niż ewentualne korzyści.
2. Przejrzyj kontrole bezpieczeństwa cybernetycznego
Twoja organizacja najprawdopodobniej ma już pewne mechanizmy kontroli; mogą być tak proste jak oprogramowanie antywirusowe lub zapory sieciowe.
Takie środki mogą również obejmować istniejące zasady lub procedury, np. utrzymywanie harmonogramu regularnej aktualizacji urządzeń i oprogramowania, a nawet bezpieczeństwa fizycznego.
Wszystkie one powinny zostać przejrzane, aby upewnić się, że są wciąż aktualne i ostatecznie mogą zaoszczędzić Ci niepotrzebnej pracy - jeśli istniejący środek wystarczy, upewnij się, że jest udokumentowany i skreśl go z listy rzeczy do zrobienia.
3. Przeprowadź analizę wpływu na biznes
BIA (analiza wpływu na biznes) to proces, który wykorzystuje krytyczne działania w celu ustalenia priorytetów odzyskiwania po incydencie.
BIA pomoże ci również ustalić, jak szybko każde działanie musi zostać wznowione po incydencie. Co ważne, analiza da Ci docelowy czas regeneracji dla każdego działania, który jest „akceptowalnym” czasem potrzebnym na ponowne uruchomienie systemu.
4. Utwórz zespół reagowania na incydent
Dedykowany zespół reagowania na incydenty analizuje informacje o incydentach, omawia obserwacje, koordynuje działania i dzieli się wewnętrznie ważnymi ustaleniami.
Zespół może obejmować dyrektora lub kierownika wyższego szczebla, kierownika ds. Bezpieczeństwa informacji, kierownika obiektu i kierownika działu IT.
Bez względu na to, jaką dokładnie rolę osoby te pełnią, zespół musi mieć wystarczające uprawnienia, aby szybko reagować na incydenty, oraz wystarczający dostęp do informacji i wiedzy specjalistycznej, aby podejmować decyzje na podstawie najlepszych dostępnych informacji.
5. Opracuj plany reagowania na incydenty
Twój plan powinien koncentrować się na zidentyfikowanych krytycznych aktywach - w tym ryzykach dla tych aktywów, właścicieli aktywów i lokalizacji aktywów - a także na podsumowanych wynikach BIA.
Musisz również wprowadzić proces raportowania lub plan komunikacji, aby zapewnić, że zarówno zespół reagowania na incydenty, jak i odpowiednie zainteresowane strony zostaną poinformowane o wszelkich incydentach.
Aby ten proces zadziałał, musisz podać dane kontaktowe - zarówno członków zespołu, jak i odpowiednich władz - oraz drzewa połączeń, a także listy kontrolne lub kroki, które należy podjąć w przypadku konkretnych scenariuszy.
6. Testuj scenariusze incydentów
Aby mieć pewność, że listy kontrolne lub kroki dla konkretnych scenariuszy rzeczywiście działają, należy je przetestować.
Testowanie tych kroków, co najmniej raz na dwa lata zapewnia, że są one i pozostają skuteczne, ale umożliwia także udokumentowanie planu tak szczegółowo, jak to możliwe. Bez względu na to, jak dobrze znają go Twoi pracownicy, teoria nie zastąpi praktycznego doświadczenia.
Testy nie tylko potwierdzają, że plan działa jest skuteczny, ale także szkolą pracowników, aby reagowali tak skutecznie, jak to tylko możliwe. Wszystkie wyciągnięte wnioski powinny zostać udokumentowane, a wynikające z nich ulepszenia w razie potrzeby uwzględnione w scenariuszach.
7. Przeprowadzić szkolenie z reagowania na incydenty
Błędy ludzkie i awarie procesów są podstawowymi przyczynami większości incydentów bezpieczeństwa.
Aby zmniejszyć to ryzyko, musisz nauczyć swoich pracowników, jak ważna jest skuteczna ochrona i jak mogą uniknąć błędów.
Pracownicy pełniący obowiązki związane z reagowaniem na incydenty powinni zostać przeszkoleni w zakresie swojej roli, niezależnie od tego, czy dotyczy to powiadamiania o incydentach, zgłaszania lub klasyfikacji, czy testowania scenariuszy.
Osoby pełniące obowiązki związane z ciągłością działania powinny również przejść odpowiednie szkolenie.
8. Ustanowienie ram ciągłego doskonalenia
Podobnie jak w przypadku innych ram, procesy reagowania na incydenty muszą być regularnie przeglądane, aby uwzględnić pojawiające się zagrożenia i obszary, w których obecne ramy nie działają zgodnie z przeznaczeniem.
W związku z tym opisane tutaj kroki należy powtarzać, co roku lub za każdym razem, gdy nastąpią poważne zmiany w organizacji.